Ochrona i Monitorowanie Bezpieczeństwa Sieci (od zewnątrz) Michał Kraut Systems Engineer Maj 2005

Transkrypt

1 Ochrona i Monitorowanie Bezpieczeństwa Sieci (od zewnątrz) Michał Kraut Systems Engineer Maj

2 Agenda Monitorowanie i ochrona bezpieczeństwa -CS-MARS -Cisco IPS -Cisco CSA Ochrona bezpieczeństwa na brzegu -PIX 7.0 -ASA 5500 Bezpieczna komunikacja - SSL VPN Pytania...? 2

3 Ewolucja w strategii Self-Defending Network SDN faza III Adaptowalna ochrona przed zagrożeniami Wzajemna świadomość istnienia i działania wśród I pomiędzy urządzeń sieciowych i urządzeń bezpieczeństwa sieci Zwiększenie efektywności zabezpieczeń, umożliwienie działań proaktywnych Konsolidacja usług, zwiększenie efektywności działań Wykrywania i inspekcja aplikacji dla zabezpieczenia ich prawidłowego działania i umożliwienia optymalizacji Pojedyncze Produkty Wiele urządzeń bezpieczeństwa sieci Oddzielne narzędzia zarządzania SDN faza II Współpracujące systemy bezpieczeństwa) Bezpieczeństwo staje się elemente obejmującym całość sieci: Stacje końcowe + Sieć + Polityki dostępu (policies) Wiele usług I urządzeń współpracuje żeby zapobiec atakom. Aktywne zarządzanie. NAC, IBNS, SWAN SDN faza I Zintegrowane bezpieczeństwo Stworzenie struktury gdzie każdy element sieci może być punktem obrony: routery, przełączniki, urządzenia bezpieczeństwa, hosty Bezpieczne połączenia (V3PN, DMVPN), Ochrona przed zagrożeniami (Threat Defense), Elementy budowy zaufania w sieci (Trust & Identity) 3

4 Adaptive Threat Defense Nowe produkty w 2005 roku Cisco Produkt ASA 5500 Bezp.aplikacji Anti-X Containment & Control IPS 5.0 VPN 3000 Concentrator 4.7 PIX 7.0 IOS 12.3(14)T Cisco Security Agent 4.5 Catalyst DDoS Modules Cisco MARS Multi-Vector Threat Identification SSL VPN Tunnel Client Clientless Citrix Application Inspection/ Control dla Firewall Rozszerzone bezp. VoIP Application Inspection/ Control dla IOS Firewall Malware, virus, worm - wykrywanie/ochrona Cisco Secure Desktop Rozszerzenia In-Line IPS Nowe Techniki prewencyjne Dla In-Line IPS Virtual firewall, QoS, transparent firewall, IPv6 Network Foundation Protection, Virtual Firewall, IPSec Virtual Interface Spyware - wykrywanie Policy kontekstowe inwentura/audyt systemu Anomaly Guard Module Traffic Anomaly Detector Cisco NAC Korelacja zdarzeń działanie proaktywne Cisco Security Auditor Audyt polityki bezpieczeństwa 4

5 Cisco Security Auditor Sprawdza zgodność szeregu konfiguracji urządzeń PIX / VPN / router / switch względem predefiniowanej listy określnonej jako best practices (NSA, CIS, SAFE, TAC) Ocenia/punktuje obecną konfigurację urządzeń względem best practices Zapewnia dokładny raport z rezultatmi audytu z wyszczególnieniem znalezionych słabości Przedstawia rekomendacje dla uszczelnienia systemu Security Posture Analysis (SPA) Definicja Best Practices Audit Best practices (NSA,SAFE) Best practice zdefiniowane przez użytkownika Wsparcie dla wielu urzadzeń Raport o rezultatach Podsumowanie audytu Szczegóły audytu Podumowanie dot. policy Podsumowanie urządze dzeń Alarmy i notyfikacje Security Auditor Cisco Network Infrastructure SNAP Audit Ocena policy Ocena ogólna Ocena ważona Rekomendacje Sugestie dla uszczelnienia systemu Security Auditor rozszerza koncepcję znaną z SDM wspiera audyt wielu urządzeń względem wielu list zaleceń 5

6 Monitorowanie i ochrona bezpieczeństwa Cisco Systems, Inc. All rights reserved. 6

7 Typowe, zabezpieczone środowisko sieciowe Czy wiemy co sie dzieje wewnątrz? Log/Alert Infekcja 7

8 Reagowanie na zagrożenia Monitorowanie bezpieczeństwa sieci Administratorzy Sieci i Aplikacji Zawsze zbyt późno Reakcja: 1. Eskalacja alarmu 2. Dochodzenie 3. Koordynacja 4. Zabezpieczenie Administratorzy Bezpieczeństwa Firewall IDS/IPS Zebranie informacji Odczytanie i Analiza TONY danych... 10K Win, 100 s UNIX Anti-virus VPN Vulnerability Scanners Authentication Servers Router/Switch 8

9 CS-MARS Reagowanie na zagrożenia Zebranie danych Pobranie informacji nt. flow, log, alarmów, topologii ContextCorrelation Dynamiczna redukcja, korelacja i sprawdzenie danych usunięcie szumu Firewall Log Switch Log Switch Cfg. Router Cfg. IDS Event Firewall Cfg. NAT Cfg. Netflow. Isolated Events Server Log AV Alert App Log VA Scanner Wizualizacja i Raportowanie Zautomatyzowanie przeprowadzenia śledztwa i raportowania Wyświetlenie topologii sieci i drogi ataku/incydentu oraz jego elementów Correlation Sessions Rules Verify Reduction Interwencja Zapobieganie i powstrzymywania ataków z wykorzystanie urządzeń wymuszających działanie Valid Incidents 9

10 Cisco MARS Co możemy z niego wyczytać? 10

11 Cisco MARS Łączenie faktów Precyzyjna ścieżka ataku, dokładne sprawdzenie 11

12 Cisco MARS Ścieżka ataku z ochroną na poziomie Layer 2 12

13 CS-MARS: Spektrum produktów CS-MARS Model e Global Controller Il. zdarzeń na sek 500 1,000 3,000 5,000 10,000 N/A NetFlow Flow /s 15,000 25,000 75, , ,000 N/A RAID Storage 120GB 240GB 750GB 750GB 1TB 1TB Wielkość w RU 1 RU 1 RU 3 RU 3 RU 4 RU 4 RU 13

14 Dlaczego warto mówic o CS-MARS? Szybkie wdrożenie Praktycznie może odbyć się przez administratora sieci Może być zainstalowane dla pobierania informacji o zdarzeniach w ciągu kilku godzin Monitorowanie zdarzeń i zapobieganie zdarzeniom niepożą żądanym Zdolność Cisco, NetScreen, do korelowania McAfee, informacji Nokia, Extreme, pochodząch Checkpoint, z różnych ISS, urządze dzeń (sieciowych Enterasys, oraz Foundstone,Snort, urządze dzeń bezpieczeństwa eeye, Windows, sieci), Solaris, tuningu Linux, sygnatur IPS, lokalizowania atakującego hosta określenia ścieżki ataku oraz zaproponowania Oracle, Web, Cacheflow, sposobu ochrony Cisco Netflow Szerokie portfolio produktowe Podstawowe rozwiązanie zanie dostępne dla małych i średnich organizacji Skaluje się do 500 EPS do 10,000 EPS per urządzenia dzenia, opcja instalacji rozproszonej Poprawia ROI dla istniejących i nowo instalowanych urządze dzeń bezpieczeństwa sieci Konwersja milionów zdarzeń do niewielkiej ilości opcji i sposobów ochrony możliwych do obsłużenia przez administratora Pozwala na zwiększenie ilości urządze dzeń bezpieczeństwa sieci w strukturach bez konieczności ci zwiększenia nakład adów na administrację 14

15 Monitorowanie i Ochrona Bezpieczeństwa Wewnętrznego MARS + IPS + CSA + Cisco Guard Cisco Systems oferuje najbardziej kompletne rozwiązanie zanie monitorowania bezpieczeństwa dostępne na rynku CSA Enforce Security Policies Perimeter Unified Management, Correlation, and Analysis CSA CSA Cisco ISR Perimeter Protection Service Provider Cisco PIX Cisco Guard Cisco IPS 4200 Catalyst Service Modules CiscoWorks VMS, MARS, Protego CSA Day Zero Endpoint Protection DDoS and Antispoofing mitigation Identify and control outbreaks Server Protection 15

16 IPS Multivector Threat Identification Nowe elementy ochrony w Cisco Network IPS P2P/IM Abuse DoS/ DDoS Trojans/ Backdoors Viruses / Worms Anti-Spam Port 80 Misuse Spyware/ Adware Bots/Zombies Może e pracować jako IPS lub IDS obsługa wielu segmentów w sieci Nowy system, ta sama platforma sprzętowa Zrównoleglenie poszukiwań Nacisk na regularne uaktualnienia sygnatur Wbudowany mechanizm korelacji zdarzeń Ochrona środowiska sieciowego, możliwość izolowania ruchu Integruje wiele mechanizmów wyszukiwania zdarzeń Vulnerability Exploit-specific Policy Anomaly Heuristic 16

17 Techniki identyfikacji ataku Risk Rating & Meta Event Generator NCC Określanie ryzyka: Decyzja podejmowana jest na podstawie informacji o samym ataku i ryzyku biznesowym Waga zdarzenia Dokładność Sygnatury Znaczenie ataku Znaczenie Celu ataku RISK RATING Jak istotne jest zagrożenie? Prawodopodobień -stwo false positive? Czy ten atak dotyczy atakowanego hosta? Jak krytyczny jest host dla firmy? Wskazuje ostateczną metodę ochrony Meta Event Generator: Wbudowana korelacja zdarzeń o potencjalnie mniejszym zdarzeniu dla określenia meta-event, który może być krytyczny, wyzwolenia akcji ochronnych Modelowanie meta-event na podstawie: -Typuzdarzenia -Czasutrwania Wysoki Średni Risk Rating Niski Zdarzenie A A + B + C + D = ROBAK! Zdarzenie B DROP Zdarz. D- Stop dla Robaka! Zdarzenie C Zdarzenie D Czas:

18 Ochrona przed Wirusami i Robakami Implementacja w sieci... Remediation VLAN TrendLabs Wireless LAN LAN Data Center Internet Prewencja Branch Cisco CSA ochrona stacji przed atakami day-zero brak sygnatur zachowanie stacji Network Admission Control wymusza politykę bezpieczeństwa na stacji Cisco IDS/IPS oraz Trend Micro Network AV chroni przed atakiem Cisco Firewalls ochrania dostęp do sieci na poziomie użytkownika/aplikacji Cisco Traffic Anomaly Detector chroni przed atakami typu DDoS Uśmierzenie ataku Cisco CSA and IDS/IPS pozwala na wykrycie i zatrzymanie propagacji ataku/wirusa Cisco/Trend Micro Real-Time Outbreak Prevention Policies ochrania przed działaniem wirusa Network Infection Containment pozwala na dynamiczne określenie które stacje podlegają kwarantannie Remedium CiscoWorks VMS & CS-MARS korelacja alarmów i usunięcie/poprawa zabezpiecze Cisco/Tread Micro s DCS i VAS usuwa wirusa i sprawdza czy stacja jest czysta 18

19 Ochrona przed Wirusami i Robakami Cisco & Trend Micro Cisco Firewall & IPS Network Admission Control Cisco Security Agent DDoS Monitoring Network Anti-Virus Protection rozwiązanie zintegrowane z Cisco IPS Wireless LAN Prewencja Remote User Attack vectors can come from anywhere LAN Assessment & Restoration Data Center Uśmierzenie Internet ataku/ Branch Event Correlation & Decision Support Monitoring Security Effectiveness On-going Host Vulnerability Assessment Damage Clean-up Infection Alarm & Response (CSA/IPS) Denial of Service Attack Mitigation System Quarantining (NAC) Dynamic Outbreak Policy Insertion 19

20 Nowe platfotmy IPS Możliwości zastosowania Edge : Distribution : Core : Internal Teleworker : Branch : Campus : Data Center Ochrona inwestycji Istniejące IDSy mogą zostać zmigrowane do IPS Uzupełnienie interfejsów daje możliwość ochrony wielu segmentów Zarządzanie i utrzymanie systemu Jeden pakiet Integracja zarządzania, wbudowany mechanizm korelacji zdarzeń Niezawodność Praca w czasie rzeczywistym (opóźnienie<200 mikro sekund) Niezawodność poprzez Failover IDSM Mbps do 7 Gbps IPS 4250-XL 1000 Mbps IPS Mbps IPS Mbps IPS Mbps Router IPS module IOS IPS 20

21 Cisco IOS IPS Anti-X IPS jako funkcja routera -pełniejsza ochrona sieci i urządzenia NOWY KOD - String Engines -konfiguracji sygnatur (również definiowalnych) -Współpraca z aplikacjami AV Trend Micro Ponad 400 nowych sygnatur ataków I robaków w sumie IOS IPS posiada 1200 sygnatur Wsparcie dla sygnatur Trend Micro Sygnatury są uzupełniane poprzez plik definicji umieszczany na FLASH routera Corporate HQ WAN IPS IPS IPS 21

22 Dlaczego warto mowić o Cisco IPS? Technologia IPS jest coraz bardziej popularna wśród klientów Cisco IPS 5.0 Zupełnie Nowy, w pełni konkurencyjny produkt Nowy, wysoki poziom bezpieczeństwa i wsparcia technicznego W połączeniu z dobrym narzędziem monitorującym, umożliwia monitorowanie ale i ochronę sieci wewnętrznej IOS IPS to jedyne dostępne rozwiązanie, które umożliwia ochrone sieci WAN Umożliwia ochronę sieci w małych firmach, oddziałach i biurach, przy wykorzystaniu istniejącej infrastruktury W przyszłości... 22

23 Cisco Security Agent 4.5 Anti-X NCC Zadanie Rozwiązanie CSA 4.5 Ochrona przed nowymi i ewoluującymi zagrożeniami dla stacji roboczych i serwerów Rozszerzona ochrona w zakresie Buffer Overflow Ochrona przed Spyware Ograniczenie przerw na update dla urządzeń rozproszonych Inwentaryzacja aplikacji pozwala na identyfikację hostów podatnych na atak i/lub niezgodnych z policy Pozwala na lepsze priorytetyzowanie oparacji patchowania Wymuszenie policy dopuszczenia do użytkowania dla zasobów firmowych Dynamiczne zmiany policy w zależności od stanu użytkownika (funkcjonalność Firewall) Lepsze zrozumienie użytkowania aplikacji w sieci firmowej Wymuszenie admission policy na hostach przyłączonych do sieci Integracja z Cisco NAC pozwala na zapewnienie Integralności komunikacji, rozszerzenie możliwości zwiazanych z kontrolą kondycji hosta oraz dynamiczną zmianę policy Ochrona End-2-End dla całej organizacji Wsparcie dla narodowych wersji OS Rozszerzone wsparcie dla OS: Red Hat, Windows Cluster Zwiększona skalowalność pojedynczego MC 23

24 Cisco Security Agent - 3 produkty w jednym Jeden agent - licencja Jeden agent - instalacja Jeden agent - zarządzanie Żadnych sygnatur Funkcja IPS Funkcja FW Funkcja Inwentaryzacji zasobów Jeden agent = mniejsze koszty CSA ochrona desktopu: Rozproszony firewall Ochrona przed day zero Sprawdzanie spójności danych Ochrona aplikacji desktopowych Inwentaryzacja stacji CSA ochrona serwera: HIPS Ochrona przed buffer overflow Ochrona przed day zero Umocnienie OS Ochrona serwera WWW Ochrona aplikacji Inwentaryzacja serwera 24

25 Dlaczego warto mówić o nowym CSA 4.5? Adresuje zagrożenia day-zero Integruje w jednym agencie wiele funkcji (IPS, SpyKiller, Inventory) Obniża koszty związane z atakiem Eliminuje kwestie związane z niedostępnością systemów Obniża obciążenia związane z hot fix ami I patch owaniem Obniża koszty związane z odtworzeniem danych Pojedyncze, dedykowane rozwiązanie, wiele funkcji bezpieczeństwa, mały wpływ na wydajność stacji roboczej Kluczowy komponent NAC 25

26 Ochrona bezpieczeństwa na brzegu Cisco Systems, Inc. All rights reserved. 26

27 Nowy PIX Firewall 7.0 Zaawansowana kontrola aplikacyjna App Sec Wprowadzenie zapewnienia kontroli aplikacyjnej dla ruchu kierowanego na port 80 ataki na WWW oraz nadużycia portu 80 Kontrola peer-to-peer (KaZaA) dla uniknięcia wysycenia zasobów sieciowych Kontrola Instant Messaging (policy) w zakresie użycia, zgodności z wymaganiami i transmisji kluczowych Ograniczenie dostępu przez Web do określonych komend dla ochrony przez niepożądanymi I nieautoryzowanymi zmianami Filtracja MIME type i sprawdzanie zawartości dla ograniczenia prawdopodobieństw infekcji malware Sprawdanie zgodności protokołów z RFC jako element wspierający wykrywanie anomalii Port 80 Kazaa IM File xfer HTTP set *.JPEG/EXE Rozszerzona inspekcja aplikacyjna dla ESMTP, FTP, ICMP i Sun RPC/NIS+ Rozszerzenie funkcji bezpieczeństwa dla aplikacji nowej generacji aplikacje i protokoły dla VoIP Ochrona protokołów dla GSM GTP/GPRS Uproszczenie zarządzania Nowy PIX Device Manager / Uproszczenie mapowania policy biznesowego do działania firewalla X Yahoo IM Chat Web Browsing X Wprowadzenie granularnej konroli w obrębie policy 27

28 Cisco PIX Security Appliance Software v7.0 Site-to-Site VPN Rozszerzenia dla site-to-site VPN Rozszerzenia w zakresie komunikacji spoke-to-spoke VPN Możliwość inter-tunnel routing ruchu VPN na tym samym intefejsie fizycznym Wsparcie dla split tunneling Wsparcie dla Routingu przez tunel VPN Obsługa OSPF neighbor PIX Wsparcie dla Reverse Route Injection (RRI) IPSec Stateful Failover Zapewnienie wydajnego Active-Standby failover z automatyczną synchronizacją kluczy I informacji o SA Zapewnienie nieprzerwanej usługi site-to-site i remote-access VPN Rozszerzona obsługa certyfikatów X.509 Ręczny enrollment (PKCS 7/10) n-tiered X wsparcie dla kluczy RSA o długości 4096-bit HQ PIX Internet PIX 28 Cisco Confidential NDA Use Only

29 Nowy PIX Firewall 7.0 Virtual i Transparent Firewall NCC Security Contexts (virtual firewall) Ułatwienia dla segmentacji i konsolidacji zasobów Możliwość konfiguracji niezależnych reguł oraz niezależnego zarządzania Transparent Firewalls Łatwość wdrożenia w obecnie używanych sieciach brak konieczności readresowania Dept/Cust 1 Dept/Cust 2 Dept/Cust 3 PIX Transparent Firewall Existing Network 29

30 Cisco PIX Device Manager 3.0 Nowe narzędzie graficznego zarządzania 30

31 Zintegrowane bezpieczeństwo w Cisco IOS rozwiązanie ALL-in-ONE Identyfikacja zasobów Ochrona sieci przed stacją oraz identyfikacja użytkowników i urządzeń Network Admission Control, 802.1x Bezpieczne połączenia Bezpieczne i skalowalne połączenia, poufność danych VPN, DMVPN, V3PN, Secure Voice Ochrona infrastruktury Wymuszanie określonej polityki bezpieczeństwa Control Plane Policing Ochrona przed zagrożeniami Ochrona przed atakami, robakami i wirusami. Wymuszanie określonej polityki bezpieczeństwa Intrusion Prevention, Firewall with NAT Wbudowane szyfrowanie sprzętowe Bezpieczna transmisja głosu USB USB HWIC HWIC HWIC HWIC GE GE SFP Wysoka wydajność szyfrowania NME NME NME NME 31

32 Zintegrowane zarządzanie bezpieczeństwem Cisco Router and Security Device Manager (SDM) 2.0 Zintegrowane zarządzanie usługami routera Routing, Switching, Security, QoS Nowe funkcje bezpieczeństwa IPS Dostęp i ochrona routera Easy VPN Server oraz serwer AAA Certyfikaty Cyfrowe dla IPSec VPNs Nowy Wizard dla QoS Policy oraz NBAR Nowe narzędzia usuwania problemów dla VPN oraz WAN Monitorowanie graficzne w czasie rzeczywistym One Touch Router Lock-down, Auto Secure 32

33 Rodzina Cisco ASA 5500 Integracja wielu funkcji w jednym urządzeniu Oparty o sprawdzone technologie Adaptacyjna ochrona Bezpieczna transmisja Technologia Firewall Cisco PIX App Inspection, Use Enforcement, Web Control Bezpieczeństwo Aplikacji Technologia IPS Cisco IPS Technologia NW-AV Cisco IPS, AV Technologia VPN Cisco VPN 3000 Inteligencja sieci Cisco Network Services Malware/Content Defense, Anomaly Detection Ochrona anty-x Traffic/Admission Control, Proactive Response Kontrola bezpieczeństwa dostępu do zasobów Secure Connectivity IPSec & SSL VPN 33

34 Cisco ASA 5500 Series Realizowane funkcje odniesienie do istniejących produktów PIX Firewall ASA = PIX 7.0 VPN 3000 ASA = VPNC 4.1 Cisco IPS ASA = IPS 5.0 Obrona Anti-X Flexible user, network & URL access control services Advanced application and protocol inspection services Virtual firewall and transparent firewall services Site-to-site VPN with support for OSPF routing and QoS Rich IPSec-based remote access VPN with clustering, policy push, and client security posture enforcement Integrated clientless SSL VPN remote access services Highly accurate in-line IPS services with Accurate Prevention Technology and event correlation Broad attack prevention including extensive application inspection and control services Identify and stop viruses and worms Spyware and malware mitigation protects endpoints Inteligencja usług ug sieciowych Native IPv4 and IPv6 support, with dual stack support 802.1q VLAN, Multicast, and OSPF support Robust network and device resiliency 34

35 Rodzina Cisco ASA 5500 Dostępne produkty Cisco ASA 5510 Cisco ASA 5520 Cisco ASA 5540 Rynek docelowy Rozwiązania Małej i średniej wielkości Korporacje, rowiązania średniej wielkości Duże rozwiązania korporacyjne Wydajność Firewall IPS +IPSec VPN 300 Mbps 150 Mbps 170 Mbps 450 Mbps 375 Mbps 225 Mbps 650 Mbps 450 Mbps 325 Mbps Oparty o platformę App FW, IPSec i SSL VPN, inne A/S HA (Upg.), 3 FE do 5 FE Tak jak 5510, plus niezawodność A/A, VPN Clustering, 4 GE + 1 FE Tak jak 5520, większa wydajność i skalowalność 35

36 Cisco ASA 55x0 4 porty 10/100/1000 TX Gigabit Port 1 port 10/100 - Dedykowany do zarządzania Jedno gniazdo rozszerzające na moduł usługowy lub interfejsy Modularna mobudowa Model - 1 Rack Unit (RU) Architektura bez-dyskowa dla większej niezawodności Zasilanie AC lub DC - wymienny moduł zasilacza 2 porty USB 2.0 dla przyszłego Wykorzystania (Credentials, SSM-AIP-10 Failover, Certyfikaty, inne) Compact Flash dla oprogramowania, konfiguracji, logów Konsola i port AUX SSM-AIP-20 Diody określające status (zasilanie, status, aktywny, VPN, Flash) ASA Vertical 5500 Sessions Intro 36

37 Cisco Adaptive Security Device Manager v5.0 Zarządzanie funkcjami VPN Cisco ASDM v5.0 umożliwia graficzne zarządzanie wszystkimi funkcjami urządzenia Zarządzanie i monitorowanie: - WebVPN, S2S VPN - IPSec RA - IPS, FW - AAA, DHCP, routing, QoS Obsługa wszystkich funkcji PIX7.0, IPS 5.0, VPN4.1 ASA Vertical 5500 Sessions Intro 37

38 Usługi VPN Bezpieczństwo transmisji Supply Partner Extranet Bezpieczny dostęp: Branch Office Site-to-Site Public Internet Account Manager Mobile User ASA 5500 Zintegrowany IPSec, WebVPN, Firewall, IPS: Employee at Home Unmanaged Desktop 38

39 Wydajna ochrona na brzegu Zintegrowana ochrona aplikacji Worms Analiza aplikacji Zapobieganie rozprzestrzenianiu wirusów Viruses Spyware Hackers W32.Tomorrow s-threat Public Internet ASA 5500 Wymuszanie zmian konfiguracji 39

40 Prosta implementacja, Zmniejszenie Kosztów Standaryzacja platformy i zarządzania Teleworker Enterprise Branch Full Service IPSec & SSL VPN Internal Firewalling and Threat Mitigation S-S VPN, Network Anti-Virus, and Worm Protection Edge Firewalling and Traffic Micro- Inspection Enterprise HQ Critical Resource Protection Remote Access and Extranet Small and Medium Business Single Device Security Solution: FW, IPS, AV, SSL, and IPSec SP Managed Service Multiple Service Offerings and Robust Management 40

41 Cisco ASA 5510, 5520, 5540 Parametry Cechy ASA 5510 ( Sec Plus) ASA 5520 ASA 5520 VPN Plus ASA 5540 ASA 5540 VPN Plus ASA 5540 VPN Premium Max Firewall Throughput 300 Mbps 450 Mbps 450 Mbps 650 Mbps 650 Mbps 650 Mbps Max Concurrent Threat Mitigation Throughput (Firewall+Anti-X) UpTo 150 Mbps with AIP-SSM Mbps with AIP-SSM Mbps with AIP-SSM Mbps with AIP-SSM Mbps with AIP-SSM Mbps with AIP-SSM-20 Max IPSec VPN Throughput 170 Mbps 225 Mbps 225 Mbps 325 Mbps 325 Mbps 325 Mbps Maximum Connections 32,000 64, , , , , ,000 S2S and IPSec RA VPN Peers ,000 5,000 WebVPN Connections ,250 2,500 VPN Clustering / Load Bal. No Yes Yes Yes Yes Yes High Availability None A/S A/A and A/S A/A and A/S A/A and A/S A/A and A/S A/A and A/S Interfaces 3 x 10/100 + OOB 5 10/100 4 x 10/100/1000, 1 10/100 4 x 10/100/1000, 1 10/100 4 x 10/100/1000, 1 10/100 4 x 10/100/1000, 1 10/100 4 x 10/100/1000, 1 10/100 Security Contexts No Up to 10 Up to 10 Up to 50 Up to 50 Up to 50 VLANs Supported Comparable PIX Model PIX 515E PIX 515E/525 PIX 515E/525 PIX 525+ PIX 525+ PIX 525+ Comparable VPN3K Model VPN 3005 VPN 3015 VPN 3020 VPN 3015 VPN 3030 VPN 3060 ASA Vertical 5500 Sessions Intro 41

42 Bezpieczna komunikacja Cisco Systems, Inc. All rights reserved. 42

43 Bezpieczna komunikacja Oddział Campus Data Center HQ Użytkownik mobilny SOHO/Teleworker Extranet IPSec VPN: Sieć do Sieci (Site-to-Site) oraz Zdalny Dostęp (RA) SSL VPN: Zdalny dostęp V 3PN: Secure Voice and Video enabled VPN Wireless 43

44 Remote Access VPN Internet Szyfrowany tunel IP Siec firmy X/24 Enkapsulowany orginalny pakiet (zielony) w nowy pakiet (czerwony), przesyłany jest przez współdzieloną sieć. Wymaga to: Szyfracji i autoryzacji per pakiet Przypisania adresu prywatnego Przypisania usług prywatnych (DNS, WINS, domena,..) Uwierzytelnienia punktu terminacji tunelu (użytkownik, urządzenie) Wsparcia dla NAT traversal draft-dukes-ike-mode-cfg-03.txt draft-beaulieu-ike-xauth-03.txt 44

45 Cisco VPN Client Łatwa instalacja Centralne zarządzanie policy Policy określane dla użytkownika i/lub grupy użytkowników Możliwość personalizacji interfejsu Opcja Split tunneling Zintegrowany Personal Firewall 45

46 Zdalny dostęp do aplikacji - SSL VPN Wszystkie funkcje SSL VPN są wliczone w cenę Nie ma specjalnych licencji! Komputer zarządzany przez IT firmy : Kontrolowane środowisko oprogramowania Znany poziom bezpieczeństwa oraz uprawnienia Szerokie wymagania aplikacyjne Opcjonalne sprzątanie po zamknięciu sesji Zdalny dostęp podobny dla dostępu z LAN Dostęp z domu/kiosku: Środowisko niekontrolowane problem ze wsparciem Nieznany poziom bezpieczeństwa oraz uprawnienia Dopuszczona ograniczona ilość aplikacji Wymagane określenie poziomu bezpieczeństwa Wymagane sprzątanie po zamknięciu sesji Dostęp dla Partnerów: Środowisko niekontrolowane problem ze wsparciem Nieznany poziom bezpieczeństwa oraz uprawnienia Bardzo granularna kontrola dostępu Wymagane określenie poziomu bezpieczeństwa Wymagane sprzątanie po zamknięciu sesji 46

47 WebVPN dostęp bez klienta Wsparcie dla Citrixa App Sec Ściągniecie apletu Port Forwarding Powolne ściąganie, konflikty oprogramowania, blokowanie apletu przez przeglądarkę Typowa implementacja SSL VPN dla Citrix Citrix Server Citrix Server Wspacie dla Cirtix bez specjalnego klienta Implementacja Cisco dla Citrix Wsparcie dla Citrix wymaga klienta SSL dostawcy lub apletu Java lub innego oprogramowania rezydującego Powolne inicjowanie aplikacji Może nie funkcjonować poprawnie ze względu na ustawienia bezpieczeństwa przeglądarki Potencjalne konflity oprogramowania, szczególnie na komputerach niezarządzanych Dostęp do Citrix bez specjalnego klienta Szybka inicjacja aplikacji nie trzeba nic ściągać Wysoka wydajność Brak wpływu lokalnych ustawień przeglądarki w tym ustawień bezpieczeństwa Duża stabilność brak konfliktów z innym oprogramowaniem 47

48 Cisco Secure Desktop Zaawansowane bezpieczeństwo dla SSL VPN Pełne sprawdzenie a priori Czy host jest zarządzany przez IT czy też nie? Sprawdzenie stanu bezpieczeństwa hosta AV (czy( działa, czy aktualny), personal firewall (czy( działa), malware (czy jest)? Windows 2000 or XP Cisco Secure Desktop Zaawansowana ochrona sesji Ochrona wszystkich aspektów sesji - szyfracja Wykrywanie malware i przeciwdziałanie anie z użyciem oprogramowania anti- spyware Sprzątanie po sesji: Nadpisanie częś ęści szyfrowanej (nie tylko usunięcie danych) Cache, historia I cookie - nadpisane Ściągnięte pliki i załą łączniki - nadpisane Hasła - nadpisane Original User Desktop Temporary CSD Desktop Pracuje z uprawnieniami gościa Nie wymaga uprawnień administratora 48

49 Nie tylko zdalny dostęp jest łatwy w realizacji Rozwiązanie Easy VPN Cisco IOS Router, 3002, lub PIX Biuro Cisco VPN S/W Klient na PC/MAC/Unix Biuro domowe Internet Lokalizacja centralna Cisco IOS Router, VPN Concentrator, lub PIX Proste Skalowalne Elastyczne 49

50 Funkcjonalność Easy VPN Client Biuro zdalne SBO IKE mode config pozwala na przesłanie parametrów VPN do klienta HQ Cisco VPN 1700 Klient Dynamicznie aktualizowane: - centralne usługi oraz policy bezpieczeństwa - Client i Network Extension mode Internet Wewnętrzny IP Address Wewnętrzna maska sieci Wewnętrzny DNS Server Wewnętrzny WINS Server Split tunneling IPsec Transform Security VPN Server Policy repository (e.g. Cisco VPN 3/5000) Scentralizowana kontrola: - Konfiguracja, policy bezpieczeństwa przesyłane są za każdym razem gdy zestawiany est tunel VPN 50

51 Skalowalne rozwiązanie VPN Cisco Easy VPN server na VPN gateway u z wiedzą o policy bezpieczeństwa (Cisco CVPN 3000, Cisco IOS Router, PIX Firewall) Pracownicy mobilni Central Site HQ / ISP Aktualizacja policy Internet Cisco Easy VPN Remote i Server Wsparcie dla wszystkich klientów Cisco VPN Clients Dynamiczna aktualizacja policy, przesyłane (push mode) do każdego CPE lub/i klienta Dynamiczne tunele VPN z wykorzystaniem dynamicznych lub statycznych połaczeń WAN Dynamiczne i statyczne adresy IP Teleworker Tunele VPN Małe biuro firmy Konfiguracja A Konfiguracja A Konfiguracja A Konfiguracja A 51

52 Dlaczego warto mówić o Cisco VPN Zdalny dostęp jest coraz bardziej popularny, ale problemetyczne bywa posiadanie aplikacji na stacji klienta SSL VPN umożliwia dołączenie użytkowników bez konieczności posiadania aplikacji klienta VPN Coraz więcej firm, korzysta z szerokopasmowego dostępu i łączenia oddziałów poprzez Internet ASA5500 może być wykorzystany jako rozwiązanie łączące te funkcje -Zdalny dostęp poprzez SSL VPN ale klientów oraz partnerów firmy -IPSec VPN Client w celu pełnego dostępu do zasobów dla pracowników -Easy VPN w celu łączenia oddziałów 52

53 Pytania Pytania Pytania Cisco Systems, Inc. All rights reserved. 53

54 54